Terakhir diperbarui: 15 September 2023.
Addendum Pemrosesan Data (“DPA”) ini adalah perjanjian antara Anda dan entitas yang Anda wakili (“Pelanggan”, “Anda” atau “milik Anda”) dan Mapsly LLC (“MAPSLY”). DPA ini melengkapi Ketentuan Layanan MAPSLY yang tersedia di https://mapsly.com/terms, sebagaimana diperbarui dari waktu ke waktu antara Pelanggan dan MAPSLY, atau perjanjian lain antara Pelanggan dan MAPSLY yang mengatur penggunaan Layanan MAPSLY oleh Pelanggan ("Perjanjian").
Definisi. Semua istilah yang ditulis dengan huruf kapital yang digunakan dalam DPA ini akan memiliki makna yang diberikan kepada mereka di bawah ini, kecuali didefinisikan lain dalam Perjanjian:
“API” berarti antarmuka pemrograman aplikasi.
“Undang-Undang Perlindungan Data yang Berlaku” berarti semua undang-undang dan peraturan yang berlaku dan mengikat pada pemrosesan Data Pelanggan oleh suatu pihak, termasuk, jika berlaku, GDPR.
“Aturan Korporasi yang Mengikat” memiliki makna yang diberikan kepadanya dalam GDPR.
“Pengontrol” memiliki makna yang diberikan kepadanya dalam GDPR.
“Klausul Pengendali-ke-Pemroses” bermakna klausul kontraktual standar antara Pengendali dan Pemroses untuk Transfer Data, sebagaimana disetujui oleh Keputusan Pelaksanaan Komisi Eropa (UE) 2021/914 tanggal 4 Juni 2021.
“Data Pelanggan” berarti Data Pribadi yang diunggah ke Layanan di bawah akun MAPSLY Pelanggan.
“Dokumentasi” berarti dokumentasi saat ini untuk Layanan yang terletak di https://help.mapsly.com (dan lokasi penerus mana pun yang ditunjuk oleh MAPSLY).
“EEA” berarti Wilayah Ekonomi Eropa.
“Pengguna Akhir” berarti pengguna akun Mapsly Pelanggan termasuk karyawan dan kontraktor Pelanggan yang ditugaskan oleh Pelanggan untuk menggunakan Mapsly.
“GDPR” bermaksud Peraturan 2016/679 Parlemen Eropa dan Dewan tanggal 27 April 2016 tentang perlindungan individu terkait dengan pemrosesan data pribadi dan tentang pergerakan bebas data tersebut, serta mencabut Arahan 95/46/EC (Peraturan Perlindungan Data Umum).
“Jaringan MAPSLY” berarti server, peralatan jaringan, dan sistem perangkat lunak host (misalnya, firewall virtual) yang berada di bawah kendali MAPSLY dan digunakan untuk menyediakan Layanan.
“Konsol Setup MAPSLY” berarti bagian Pengaturan di layanan Mapsly yang tersedia di bawah “Pengaturan” di menu utama.
“Data Pribadi” berarti data pribadi, informasi pribadi, informasi yang dapat diidentifikasi secara pribadi atau istilah setara lainnya (masing-masing sesuai definisi dalam Undang-Undang Perlindungan Data yang Berlaku).
“Memproses” memiliki arti sebagaimana diberikan dalam GDPR dan “proses”, “memproses”, dan “diproses” akan diartikan sesuai.
“Prosesor” memiliki makna yang diberikan kepadanya dalam GDPR.
Klausul Processor ke Processor berarti klausul kontrak standar antara Pemroses untuk Transfer Data, sebagaimana disetujui oleh Keputusan Pelaksanaan Komisi Eropa (UE) 2021/914 tanggal 4 Juni 2021.
Insiden Keamanan berarti pelanggaran keamanan MAPSLY yang mengakibatkan penghancuran, kehilangan, perubahan yang tidak disengaja atau melanggar hukum, pengungkapan tidak sah, atau akses ke Data Pelanggan.
Kontrol Layanan berarti kontrol, termasuk fitur keamanan dan fungsi, yang disediakan oleh Layanan, seperti dijelaskan dalam Dokumentasi.
Klausul Kontraktual Standar” berarti (i) Klausul Pengendali-ke-Pemroses, atau (ii) Klausul Pemroses-ke-Pemroses, sesuai dengan yang berlaku menurut Pasal 9.2.1 dan 9.2.2.
Negara Ketiga berarti sebuah negara di luar EEA yang tidak diakui oleh Komisi Eropa sebagai menyediakan tingkat perlindungan yang memadai untuk data pribadi (sebagaimana dijelaskan dalam GDPR).
1. Pengolahan Data.
1.1 Lingkup dan Peran. DPA ini berlaku ketika MAPSLY memproses Data Pelanggan. Dalam konteks ini, MAPSLY akan bertindak sebagai Pemroses untuk Pelanggan, yang dapat bertindak sebagai Pengendali atau Pemroses Data Pelanggan.
1.2 Kontrol Pelanggan Pelanggan dapat menggunakan Kontrol Layanan untuk membantu memenuhi kewajibannya berdasarkan Hukum Perlindungan Data yang Berlaku, termasuk kewajibannya untuk menanggapi permintaan dari subjek data. Dengan mempertimbangkan sifat pemrosesan, Pelanggan setuju bahwa kecil kemungkinannya MAPSLY akan mengetahui bahwa Data Pelanggan yang ditransfer berdasarkan Klausul Kontrak Standar tidak akurat atau sudah usang. Namun demikian, jika MAPSLY mengetahui bahwa Data Pelanggan yang ditransfer berdasarkan Klausul Kontrak Standar tidak akurat atau sudah usang, MAPSLY akan segera memberitahukan Pelanggan tanpa penundaan yang tidak semestinya. MAPSLY akan bekerja sama dengan Pelanggan untuk menghapus atau memperbaiki Data Pelanggan yang tidak akurat atau sudah usang yang ditransfer berdasarkan Klausul Kontrak Standar dengan menyediakan Kontrol Layanan yang dapat digunakan Pelanggan untuk menghapus atau memperbaiki Data Pelanggan.
1.3 Rincian Pengolahan Data.
1.3.1 Hal pokok. Subjek dari pemrosesan data berdasarkan DPA ini adalah Data Pelanggan.
1.3.2 Durasi. Antara MAPSLY dan Pelanggan, durasi pemrosesan data berdasarkan DPA ini ditentukan oleh Pelanggan.
1.3.3 Tujuan. Tujuan pemrosesan data berdasarkan DPA ini adalah penyediaan Layanan yang dimulai oleh Pelanggan dari waktu ke waktu.
1.3.4 Sifat pemrosesan. Layanan komputasi, penyimpanan, dan layanan lainnya sebagaimana dijelaskan dalam Dokumentasi dan yang dimulai oleh Pelanggan dari waktu ke waktu.
1.3.5 Jenis Data Pelanggan. Data Pelanggan diunggah ke Layanan di bawah akun MAPSLY Pelanggan.
1.3.6 Kategori subjek data. Subjek data dapat mencakup pelanggan Customer, karyawan, pemasok, dan Pengguna Akhir.
1.4 Kepatuhan terhadap hukum. Setiap pihak akan mematuhi semua undang-undang, aturan, dan peraturan yang berlaku dan mengikat baginya dalam pelaksanaan DPA ini, termasuk Undang-Undang Perlindungan Data yang Berlaku.
1.5 Mapsly sebagai Pengontrol. Pelanggan mengakui bahwa Mapsly dapat mengumpulkan informasi spesifik tentang Pengguna Akhir Pelanggan yang dijelaskan dalam Kebijakan Privasi MAPSLY (saat ini diterbitkan di https://mapsly.com/privacy-policy)Sepanjang data tersebut dianggap sebagai Informasi Pribadi berdasarkan Undang-undang Perlindungan Data, Mapsly adalah Pengendali data tersebut dan akan memprosesnya sebagai Bagian Data Pelanggan sesuai dengan DPA ini. Pelanggan juga memberikan hak kepada MAPSLY untuk mengungkapkan data tersebut secara internal dan kepada Sub-Prosesornya untuk tujuan bisnis yang sah terkait operasi, dukungan, dan penggunaan Layanan, seperti penagihan, manajemen akun, dukungan teknis, pengembangan produk, penjualan, dan pemasaran.
2. Instruksi Pelanggan. Para pihak sepakat bahwa DPA dan Perjanjian ini (termasuk Instruksi Pelanggan yang diberikan melalui alat konfigurasi seperti konsol MAPSLY Setup dan API yang disediakan oleh MAPSLY untuk Layanan) merupakan instruksi terdokumentasi Pelanggan mengenai pemrosesan Data Pelanggan oleh MAPSLYInstruksi yang didokumentasikanMAPSLY hanya akan memproses Data Pelanggan sesuai dengan Instruksi yang Didokumentasikan (yang jika Pelanggan bertindak sebagai Processor, dapat berdasarkan instruksi dari Controllers-nya). Instruksi tambahan di luar cakupan Instruksi yang Didokumentasikan (jika ada) memerlukan kesepakatan tertulis sebelumnya antara MAPSLY dan Pelanggan, termasuk kesepakatan mengenai biaya tambahan yang harus dibayar oleh Pelanggan kepada MAPSLY untuk melaksanakan instruksi tersebut. Pelanggan berhak untuk mengakhiri DPA ini dan Perjanjian jika MAPSLY menolak mengikuti instruksi yang diminta oleh Pelanggan yang berada di luar atau telah diubah dari instruksi yang diberikan atau disetujui untuk diberikan dalam DPA ini. Dengan mempertimbangkan sifat pemrosesan, Pelanggan menyetujui bahwa MAPSLY kemungkinan besar tidak dapat memberikan pendapat apakah Instruksi yang Didokumentasikan melanggar Hukum Perlindungan Data yang Berlaku. Jika MAPSLY memberikan pendapat seperti itu, MAPSLY akan segera memberi tahu Pelanggan, dalam hal ini, Pelanggan berhak untuk menarik atau mengubah Instruksi yang Didokumentasikan.
3. Kerahasiaan Data Pelanggan. MAPSLY tidak akan mengakses atau menggunakan, atau mengungkapkan data Pelanggan kepada pihak ketiga manapun, kecuali dalam setiap kasus, jika diperlukan untuk memelihara atau menyediakan Layanan, atau jika diperlukan untuk mematuhi hukum atau perintah yang sah dan mengikat dari badan pemerintah (seperti surat perintah pengadilan atau subpoena). Jika badan pemerintah mengirimkan permintaan data Pelanggan ke MAPSLY, MAPSLY akan mencoba mengarahkan badan pemerintah tersebut untuk meminta data langsung dari Pelanggan. Sebagai bagian dari upaya ini, MAPSLY dapat memberikan informasi kontak dasar Pelanggan kepada badan pemerintah. Jika dipaksa untuk mengungkapkan data Pelanggan kepada badan pemerintah, maka MAPSLY akan memberi pemberitahuan wajar kepada Pelanggan tentang permintaan tersebut agar Pelanggan dapat mencari perintah perlindungan atau upaya hukum lain yang sesuai kecuali MAPSLY secara hukum dilarang melakukannya.
4. Kewajiban Kerahasiaan Personel MAPSLY. MAPSLY membatasi personelnya dari memproses Data Pelanggan tanpa otorisasi dari MAPSLY. MAPSLY memberlakukan kewajiban kontraktual yang sesuai kepada personelnya, termasuk kewajiban yang relevan mengenai kerahasiaan, perlindungan data, dan keamanan data.
5. Keamanan Pemrosesan Data
5.1 MAPSLY telah menerapkan dan akan mempertahankan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan keamanan dan kerahasiaan Data Pelanggan, sesuai dengan standar keamanan Mapsly yang dijelaskan dalam PDA ini dan dalam Kebijakan Privasi MAPSLY..
5.2 Tanggung Jawab Pelanggan dan Fitur Keamanan Opsional. MAPSLY menyediakan banyak Kontrol Layanan yang dapat dipilih oleh Pelanggan untuk lebih memperkuat keamanan Data Pelanggan. Pelanggan bertanggung jawab untuk (a) penggunaan Layanan secara aman, termasuk mengamankan kredensial otentikasi akunnya, (b) melindungi keamanan Data Pelanggan saat dalam perjalanan ke dan dari Layanan, (c) mengambil langkah yang tepat untuk mengenkripsi atau membuat cadangan Data Pelanggan yang diunggah ke Layanan secara aman, (d) mengonfigurasi Layanan dan Kontrol Layanan dengan benar, dan (e) mengambil langkah lain yang dianggap memadai oleh Pelanggan untuk memastikan keamanan, perlindungan, dan penghapusan Data Pelanggan.
5.3. Pemberitahuan Insiden Keamanan.
5.3.1. Insiden Keamanan. MAPSLY akan (a) memberitahukan Pelanggan tentang Insiden Keamanan tanpa penundaan yang tidak semestinya setelah mengetahui Insiden Keamanan tersebut, dan (b) mengambil langkah-langkah yang tepat untuk menangani Insiden Keamanan, termasuk langkah-langkah untuk mengurangi dampak negatif yang timbul dari Insiden Keamanan tersebut.
5.3.2. Bantuan MAPSLY. Untuk memungkinkan Pelanggan memberi tahu Insiden Keamanan kepada otoritas pengawas atau subjek data (jika berlaku), MAPSLY akan bekerja sama dengan dan membantu Pelanggan dengan memasukkan dalam pemberitahuan informasi tentang Insiden Keamanan yang dapat diungkapkan MAPSLY kepada Pelanggan, dengan mempertimbangkan sifat pemrosesan, informasi yang tersedia bagi MAPSLY, dan setiap pembatasan dalam mengungkapkan informasi tersebut, seperti kerahasiaan. Dengan mempertimbangkan sifat pemrosesan, Pelanggan setuju bahwa mereka paling mampu menentukan kemungkinan konsekuensi dari Insiden Keamanan.
5.3.3. Insiden Keamanan yang Gagal. Pelanggan setuju bahwa:
(i) Insiden Keamanan yang gagal tidak akan tunduk pada Bagian 5.3 ini. Insiden Keamanan yang gagal adalah insiden yang tidak mengakibatkan akses tidak sah ke Data Pelanggan atau ke peralatan atau fasilitas MAPSLY yang menyimpan Data Pelanggan, dan dapat mencakup, tanpa terbatas, ping dan serangan siaran lainnya pada firewall atau server tepi, pemindaian port, upaya masuk yang gagal, serangan penolakan layanan, pengupingan paket (atau akses tidak sah lainnya ke data lalu lintas yang tidak mengakibatkan akses lebih dari header) atau insiden serupa;
(ii) Kewajiban MAPSLY untuk melaporkan atau menanggapi Insiden Keamanan berdasarkan Pasal 5.3 ini bukan dan tidak akan dianggap sebagai pengakuan oleh MAPSLY atas kesalahan atau tanggung jawab MAPSLY terkait Insiden Keamanan tersebut.
5.3.4. Komunikasi. Notifikasi Insiden Keamanan, jika ada, akan dikirimkan kepada satu atau lebih administrator Pelanggan dengan cara apa pun yang dipilih oleh MAPSLY, termasuk melalui email. Merupakan tanggung jawab tunggal Pelanggan untuk memastikan administrator Pelanggan mempertahankan informasi kontak yang akurat pada konsol Pengaturan MAPSLY dan transmisi yang aman setiap saat.
5.3.5. Kewajiban Pemberitahuan. Jika MAPSLY memberitahu Pelanggan tentang Insiden Keamanan, atau Pelanggan mengetahui adanya penghancuran, kehilangan, perubahan, pengungkapan yang tidak sah, atau akses ke Data Pelanggan, Pelanggan bertanggung jawab untuk (a) menentukan apakah ada kewajiban pemberitahuan atau kewajiban lain berdasarkan Hukum Perlindungan Data yang Berlaku dan (b) mengambil tindakan yang diperlukan untuk mematuhi kewajiban tersebut. Hal ini tidak membatasi kewajiban MAPSLY berdasarkan Bagian 5.3 ini.
6. Subproses.
6.1 Sub-proses yang Diizinkan. Pelanggan memberikan otorisasi umum kepada MAPSLY untuk menggunakan sub-pemroses dalam melakukan kegiatan pemrosesan atas Data Pelanggan atas nama PelangganSub-prosesor") sesuai dengan Bagian ini. Situs web MAPSLY (saat ini diposting di https://mapsly.com/sub-processors/) mencantumkan Sub-prosesor yang saat ini digunakan oleh MAPSLY. Setidaknya 30 hari sebelum MAPSLY menggunakan Sub-prosesor, MAPSLY akan memperbarui situs web terkait dan memberikan Mekanisme kepada Pelanggan untuk menerima pemberitahuan tentang pembaruan tersebut. Untuk menolak Sub-prosesor, Pelanggan dapat: (i) berhenti menggunakan fungsi Layanan MAPSLY yang melibatkan Sub-prosesor tersebut, atau (ii) mengakhiri Perjanjian sesuai ketentuan yang berlaku.
6.2 Kewajiban Sub-prosesor. Di mana MAPSLY mengizinkan Sub-pemroses seperti dijelaskan dalam Bagian 6.1:
(i) MAPSLY akan membatasi akses Sub-prosesor terhadap Data Pelanggan hanya pada apa yang diperlukan untuk menyediakan atau memelihara Layanan sesuai dengan Dokumentasi, dan MAPSLY akan melarang Sub-prosesor mengakses Data Pelanggan untuk tujuan lain;
(ii) MAPSLY akan membuat perjanjian tertulis dengan Sub-processor dan, sejauh Sub-processor melakukan layanan pemrosesan data yang sama yang disediakan oleh MAPSLY berdasarkan DPA ini, MAPSLY akan memberlakukan kewajiban kontrak yang sama pada Sub-processor sebagaimana yang dimiliki MAPSLY berdasarkan DPA ini; dan
(iii) MAPSLY akan tetap bertanggung jawab atas kepatuhannya terhadap kewajiban dalam DPA ini serta atas setiap tindakan atau kelalaian Sub-pemroses yang menyebabkan MAPSLY melanggar kewajibannya berdasarkan DPA ini.
7. Bantuan MAPSLY untuk Permintaan Subjek Data. Dengan mempertimbangkan sifat pemrosesan, Kontrol Layanan adalah langkah teknis dan organisasi di mana MAPSLY akan membantu Pelanggan dalam memenuhi kewajiban Pelanggan untuk menanggapi permintaan subjek data berdasarkan Undang-Undang Perlindungan Data yang Berlaku. Jika subjek data mengajukan permintaan ke MAPSLY, MAPSLY akan segera meneruskan permintaan tersebut ke Pelanggan setelah MAPSLY mengidentifikasi bahwa permintaan tersebut berasal dari subjek data yang menjadi tanggung jawab Pelanggan. Pelanggan memberi wewenang atas namanya, dan atas nama pengendali data saat Pelanggan bertindak sebagai Pemroses, kepada MAPSLY untuk menanggapi setiap subjek data yang mengajukan permintaan ke MAPSLY, untuk mengonfirmasi bahwa MAPSLY telah meneruskan permintaan tersebut ke Pelanggan. Para pihak setuju bahwa penggunaan Kontrol Layanan oleh Pelanggan dan penerusan permintaan subjek data oleh MAPSLY kepada Pelanggan sesuai dengan bagian ini mewakili cakupan dan batasan bantuan yang diperlukan dari Pelanggan.
8. Verifikasi Kepatuhan.
8.1 Audit MAPSLY. MAPSLY menggunakan auditor eksternal untuk memverifikasi kecukupan langkah-langkah keamanannya. Audit ini: (a) akan dilakukan setidaknya setiap tahun; (b) akan dilakukan sesuai dengan standar yang diakui secara luas; (c) akan dilakukan oleh profesional keamanan pihak ketiga independen yang dipilih dan dibiayai oleh MAPSLY; dan (d) akan menghasilkan laporan audit.Laporan“), yang akan menjadi Informasi Rahasia MAPSLY.
8.2 Laporan Audit. Atas permintaan tertulis Pelanggan, dan dengan ketentuan bahwa para pihak memiliki NDA yang berlaku, MAPSLY akan memberikan salinan Laporan kepada Pelanggan sehingga Pelanggan dapat secara wajar memverifikasi kepatuhan MAPSLY terhadap kewajibannya berdasarkan DPA ini.
8.3 Penilaian Dampak Privasi dan Konsultasi Awal. Dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia bagi MAPSLY, MAPSLY akan membantu Pelanggan dalam memenuhi kewajiban Pelanggan terkait penilaian dampak perlindungan data dan konsultasi sebelumnya dengan menyediakan informasi yang MAPSLY sediakan berdasarkan Bagian 8 ini.
9. Transfer data pribadi.
9.1 Lokasi. MAPSLY dapat mentransfer dan memproses Data Pelanggan dalam Jaringan MAPSLY di AS atau EEA. MAPSLY tidak akan mentransfer Data Pelanggan ke luar EEA dan AS kecuali jika diperlukan untuk menyediakan Layanan yang dimulai oleh Pelanggan, atau jika diperlukan untuk mematuhi hukum atau perintah yang sah dan mengikat dari badan pemerintah.
9.2 Penerapan Klausul Kontraktual Standar. Tunduk pada Bagian 9.3, Klausul Kontraktual Standar hanya akan berlaku untuk Data Pelanggan yang tunduk pada GDPR yang dipindahkan, baik secara langsung maupun melalui pemindahan lanjutan, ke Negara Ketiga mana pun (masing-masing “Transfer Data).
9.2.1 Ketika Pelanggan bertindak sebagai Pengendali, Klausul Pengendali-ke-Pemroses akan berlaku untuk Transfer Data.
9.2.2 Ketika Pelanggan bertindak sebagai Pemroses, Klausul Pemroses-ke-Pemroses akan berlaku untuk Transfer Data. Dengan mempertimbangkan sifat pemrosesan, Pelanggan menyetujui bahwa tidak mungkin MAPSLY mengetahui identitas Pengendali Pelanggan karena MAPSLY tidak memiliki hubungan langsung dengan Pengendali Pelanggan dan oleh karena itu, Pelanggan akan memenuhi kewajiban MAPSLY kepada Pengendali Pelanggan berdasarkan Klausul Pemroses-ke-Pemroses.
9.3 Mekanisme Transfer Alternatif. Klausul Kontrak Standar tidak akan berlaku untuk Transfer Data jika MAPSLY telah mengadopsi Aturan Perusahaan yang Mengikat untuk Pemroses atau standar kepatuhan alternatif yang diakui untuk Transfer Data yang sah.
10. Penghentian DPA. DPA ini akan terus berlaku sampai penghentian Perjanjian (yang “Tanggal Berakhir).
11. Penghapusan Data Pelanggan. Setelah penghentian atau berakhirnya Perjanjian, MAPSLY akan menghapus Data Pelanggan atas permintaan Pelanggan namun tidak lebih dari 90 hari, kecuali dan sejauh MAPSLY diwajibkan oleh hukum yang berlaku untuk mempertahankan sebagian atau seluruh Data Pelanggan, yang akan diamankan dan disimpan secara terpisah oleh MAPSLY sesuai dengan periode retensi yang berlaku. MAPSLY akan melindungi Data ini dari pemrosesan lebih lanjut, kecuali sejauh yang diwajibkan oleh hukum yang berlaku.
12. Kewajiban untuk Memberi Tahu. Jika Data Pelanggan menjadi subjek penyitaan selama proses kebangkrutan, kepailitan, atau tindakan serupa oleh pihak ketiga saat sedang diproses oleh MAPSLY, MAPSLY akan memberitahu Pelanggan tanpa penundaan yang tidak perlu. MAPSLY juga akan, tanpa penundaan yang tidak perlu, memberi tahu semua pihak terkait dalam tindakan tersebut (misalnya, kreditur, kurator kepailitan) bahwa setiap Data Pelanggan yang menjadi subjek proses tersebut adalah milik Pelanggan dan menjadi tanggung jawab Pelanggan serta bahwa Data Pelanggan berada sepenuhnya di bawah pengendalian Pelanggan.
13. Keseluruhan Perjanjian; Konflik. DPA ini menggabungkan Klausul Kontrak Standar sebagai referensi. Kecuali diubah oleh DPA ini, Perjanjian akan tetap berlaku sepenuhnya. Jika terjadi konflik antara Perjanjian dan DPA ini, ketentuan DPA ini yang berlaku, kecuali Ketentuan Layanan yang mengendalikan atas DPA ini. Tidak ada yang dalam dokumen ini mengubah atau memodifikasi Klausul Kontrak Standar.
14. Penggunaan data pengguna mentah atau turunan yang diterima dari API Workspace akan mematuhi Kebijakan Data Pengguna Google, termasuk persyaratan Penggunaan Terbatas